一、 漏洞 CVE-2025-60378 基础信息
漏洞信息
                                        # N/A

## 概述

RISE Ultimate Project Manager & CRM 存在存储型 HTML 注入漏洞, authenticated 用户可在发票和消息中注入任意 HTML 内容。

## 影响版本

未指定具体影响版本。

## 细节

- 漏洞类型:存储型 HTML 注入(Stored HTML Injection)  
- 注入点:发票内容与消息模块  
- 受害角色:经过身份验证的用户可利用该漏洞  
- 渲染场景:注入内容在发送给客户或团队成员的邮件、PDF 附件、消息/聊天模块中被渲染执行  

## 影响

- 可导致钓鱼攻击、凭证窃取、商业邮件篡改(BEC)等安全事件  
- 自动生成的周期发票与消息模块使攻击传播更广,增加受害人数风险
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Stored HTML injection in RISE Ultimate Project Manager & CRM allows authenticated users to inject arbitrary HTML into invoices and messages. Injected content renders in emails, PDFs, and messaging/chat modules sent to clients or team members, enabling phishing, credential theft, and business email compromise. Automated recurring invoices and messaging amplify the risk by distributing malicious content to multiple recipients.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
RISE Ultimate Project Manager & CRM 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
RISE Ultimate Project Manager & CRM是RISE公司的一套项目管理系统。 RISE Ultimate Project Manager & CRM存在安全漏洞,该漏洞源于认证用户可在发票和消息中注入任意HTML,可能导致钓鱼攻击、凭据窃取和商业邮件泄露。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-60378 的公开POC
# POC 描述 源链接 神龙链接
1 CVE-2025-60378 — Stored HTML Injection in RISE — Ultimate Project Manager & CRM < 3.9.4 (Invoices & Messaging) https://github.com/ajansha/CVE-2025-60378 POC详情
三、漏洞 CVE-2025-60378 的情报信息
四、漏洞 CVE-2025-60378 的评论

暂无评论

发表评论